В мире кибербезопасности наблюдается новая угроза, связанная с изощренной фишинговой кампанией, проводимой группировкой Konni APT. Злоумышленники маскируются под законные государственные органы Южной Кореи, такие как Национальная комиссия по правам человека и Национальное полицейское управление, чтобы манипулировать жертвами и получить доступ к их данным.
Методы атаки
Основная цель этих атак заключается в использовании страха жертв, связанных с нарушениями прав человека и расследованиями. Злоумышленники применяют следующие методы:
- Отправка поддельных электронных писем с напугивающим контентом.
- Использование неисполняемых файлов, таких как ярлыки LNK и сценарии автозагрузки.
- Применение подмены адресов отправителей для перенаправления на вредоносные домены.
Анализ фишинговой кампании
С января по март 2025 года задокументировано множество фишинговых попыток, направленных против активистов и НПО, работающих в области прав человека в Северной Корее. Электронные письма маскируются под официальные сообщения от humanrights.go.kr, однако в реальности они ведут на вредоносный сайт humanrights.co.ke.
Способы взаимодействия
Кампания под названием “Уведомление, предупреждение и запрос об исправлении нарушений прав человека” включает в себя:
- ZIP-файл с именем «предупреждение и исправление нарушений прав человека violations.zip», содержащий файлы быстрого доступа LNK.
- Тактику общения, направленную на нагнетание беспокойства у получателей.
В отличие от привычных фишинговых атак, где вредоносные ссылки отправляются напрямую, злоумышленники здесь сначала устанавливают контакт, а уж затем пересылают вредоносный контент, демонстрируя итеративный подход.
Вредоносные файлы и инфраструктура C2
Основной тип вредоносного ПО включает сценарии AutoIt, позволяющие злоумышленникам удаленно управлять зараженными системами через серверы командно-диспетчерского управления (C2). Эти сценарии могут подключаться к различным доменам, включая такие известные платформы, как Zoho Mail. Одним из идентифицированных IP-адресов (62.113.118.157) является сервер, предположительно использующийся для протокола удаленного рабочего стола (RDP), который предоставляет злоумышленникам дополнительные возможности контроля.
Заключение
Киберугрозы, подобные приведенной, несут серьезную опасность для правозащитников и организаций, работающих в сфере прав человека. Необходимы усиленные меры безопасности, такие как системы обнаружения конечных точек и реагирования (EDR) и услуги управляемого обнаружения (MDR), для предотвращения подобных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинг под защитой: кампания Konni APT атакует активистов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.